home *** CD-ROM | disk | FTP | other *** search
/ The Hacker's Encyclopedia 1998 / hackers_encyclopedia.iso / zines / a_m / ciac.b7 < prev    next >
Encoding:
Text File  |  2003-06-11  |  6.0 KB  |  237 lines
  1.  
  2.  
  3.         _____________________________________________________
  4.  
  5.              The Computer Incident Advisory Capability
  6.  
  7.                          ___  __ __    _     ___
  8.  
  9.                         /       |     / \   /
  10.  
  11.                         \___  __|__  /___\  \___
  12.  
  13.         _____________________________________________________
  14.  
  15.                          Information Bulletin                      
  16.  
  17.  
  18.  
  19.                              BITNET Worm
  20.  
  21.  
  22.  
  23. November 5, 1990, 0800 PST                                  Number B-7
  24.  
  25.  
  26.  
  27. PROBLEM:  Self-replicating code (worm) on external BITNET RSCS systems
  28.  
  29. PLATFORM: IBM VM/CMS 
  30.  
  31. DAMAGE: May flood the mail queue of the infected computers
  32.  
  33. IMMUNIZATION:  RSCS filter program available from IBM at no cost
  34.  
  35.                       Critical BITNET Worm Facts
  36.  
  37.  
  38.  
  39. CIAC has been informed of a slow spreading worm on the external BITNET*
  40.  
  41. network that has affected IBM mainframe systems running the VM/CMS
  42.  
  43. operating system and the RSCS communications utility.   Preliminary
  44.  
  45. reports indicate that this worm was first detected in late October, and
  46.  
  47. that it spread for approximately one day.  The worm does not appear to
  48.  
  49. be spreading at this time, and we are aware of fewer than a dozen
  50.  
  51. systems penetrated by this worm so far.  This worm is readily
  52.  
  53. identified by its characteristics and poor coding style.  This bulletin
  54.  
  55. is to advise you that this worm may be released again sometime in the
  56.  
  57. future, possibly once the many coding errors that prevented a wider
  58.  
  59. spread are corrected.   This bulletin is also to inform you about a
  60.  
  61. filter program available from IBM to prevent against this and similar
  62.  
  63. security threats.
  64.  
  65.  
  66.  
  67. CHARACTERISTICS
  68.  
  69.  
  70.  
  71. The worm was initially named "TERM MODULE" and consisted of a REXX
  72.  
  73. program that displayed user nicknames on the user's screen.  It was
  74.  
  75. apparently modified to additionally perform the following functions:
  76.  
  77.  
  78.  
  79. a.  It attempts to copy itself to all users listed in the NAMES file of
  80.  
  81. the user executing the code.  Due to programming errors, this will be
  82.  
  83. effective for only about 50% of the user names.
  84.  
  85.  
  86.  
  87. b.  It sends a copy of the "ALL NOTEBOOK" back to the user.  This is
  88.  
  89. not necessarily harmful, but may fill up spool space on the affected
  90.  
  91. machine.
  92.  
  93.  
  94.  
  95. DETECTION
  96.  
  97.  
  98.  
  99. The worm is easily identified when it is run by displaying a
  100.  
  101. "pretty-printed" copy of the names file to the user's display
  102.  
  103. terminal.  (There is an IBM function designed to print a copy of a
  104.  
  105. user's names file in a more easily readable format, a "pretty-printed"
  106.  
  107. format.)  Since the IBM TERM command does not include this
  108.  
  109. functionality, this will be an easily identified anomaly.  In addition,
  110.  
  111. it must be EXECUTED by the user in order to replicate, specifically,
  112.  
  113. the user must must receive the worm file from the reader application
  114.  
  115. and then either type the command "EXEC TERM" or accidently execute the
  116.  
  117. code from the CP TERMINAL command.
  118.  
  119.  
  120.  
  121. COUNTERMEASURES
  122.  
  123.  
  124.  
  125. Sites running VM/CMS should install and use the RSCS filter program
  126.  
  127. (available free from IBM).  This filter program is called the selective
  128.  
  129. file filter, and was announced in the IBM VM Software Newsletter (WSC
  130.  
  131. Flash 9013).  Contact your local IBM representative for details.  This
  132.  
  133. program can scan for file names or file types, then place them into the
  134.  
  135. punch queue for later identification and analysis.  As a minimum level
  136.  
  137. of protection, all files with the name and type of "TERM MODULE"
  138.  
  139. should be examined prior to receipt by the user.  Sites which do not
  140.  
  141. routinely transmit compiled REXX code may wish to wildcard the filename
  142.  
  143. and scan for all files with a filetype of MODULE.  This may help to
  144.  
  145. protect against future versions of the worm that might have a different
  146.  
  147. file name.
  148.  
  149.  
  150.  
  151. It is EXTREMELY DOUBTFUL that the worm could execute on an MVS system.
  152.  
  153. Therefore, sites running the MVS operating system should not be
  154.  
  155. affected, even if they support the REXX language.  These sites,
  156.  
  157. however, may begin seeing copies of the worm (which should not execute)
  158.  
  159. if MVS users routinely receive files from affected machines.
  160.  
  161.  
  162.  
  163. We recommend that you also notify users that they should not receive
  164.  
  165. and execute any program without first browsing it or discussing its
  166.  
  167. operation with the sender.  The VM/CMS reader is designed to prevent
  168.  
  169. problems associated with executing unfamiliar programs, and should be
  170.  
  171. used for this purpose.  If you receive an unknown file with a filetype
  172.  
  173. of EXEC or MODULE,  immediately contact your computer security officer
  174.  
  175. for information and assistance.  Please also notify CIAC, as we wish to
  176.  
  177. track any spread of this worm.
  178.  
  179.  
  180.  
  181. For additional information or assistance, please contact CIAC
  182.  
  183.  
  184.  
  185.         Thomas A. Longstaff
  186.  
  187.         (415) 423-4416 or (FTS) 543-4416
  188.  
  189.  
  190.  
  191.         or call (415) 422-8193 or (FTS) 532-8193
  192.  
  193.  
  194.  
  195.         send FAX messages to:  (415) 423-0913 or (FTS) 543-0913
  196.  
  197. ___
  198.  
  199.  * BITNET is a communications network among universities and industries 
  200.  
  201. around the world.
  202.  
  203.  
  204.  
  205. Jim Molini of Computer Sciences Corporation supplied much of the
  206.  
  207. information contained in this bulletin.  Neither the United States
  208.  
  209. Government nor the University of California nor any of their employees,
  210.  
  211. makes any warranty,  expressed or implied, or assumes any legal
  212.  
  213. liability or responsibility for the accuracy, completeness, or
  214.  
  215. usefulness of any information, product, or process disclosed, or
  216.  
  217. represents that its use would not infringe privately owned rights.
  218.  
  219. Reference herein to any specific commercial products, process, or
  220.  
  221. service by trade name, trademark manufacturer, or otherwise, does not
  222.  
  223. necessarily constitute or imply its endorsement, recommendation, or
  224.  
  225. favoring by the United States Government or the University of
  226.  
  227. California.  The views and opinions of authors expressed herein do not
  228.  
  229. necessarily state or reflect those of the United States Government nor
  230.  
  231. the University of California, and shall not be used for advertising or
  232.  
  233. product endorsement purposes.
  234.  
  235.  
  236.  
  237.